Сколько денег и на что придется потратить, если вас успешно атаковали хакеры

Лето потрясений

В 2025 году в РФ по разным оценкам число кибератак выросло от 70 до 200% по сравнению с 2024 годом, сообщал «Коммерсантъ». По данным Positive Technologies, число успешных атак в текущем году выросло на треть в сравнение с тем, что было два года назад.

Увеличивается и объем утечек. В первой половине 2025 года центр мониторинга внешних цифровых угроз Solar AURA (ГК «Солар») зафиксировал 406 таких случаев. Общий объем похищенных баз составил 687 терабайт против 3,5 терабайт годом ранее, таким образом количество утечек выросло почти в 200 раз.

Летом текущего года произошел ряд громких атак против крупных компаний. Например, магазин 12 storeez по их собственным оценкам мог потерять 48 млн рублей в начале июня из-за простоя офиса, несостоявшихся продаж, затрат на юристов и экспертов в кибербезопасности и т.д. Тогда хакеры через уязвимость в 1С получили доступ к части инфраструктуры 12 storeez и зашифровали некоторые данные. В июле же сильные атаки были на ритейлеров «Винлаб» и «Доброцен». В результате первой была нарушена работа части инфраструктуры группы, вводились ограничения на покупки товаров в онлайн-магазине. По оценкам экспертов, убытки «Винлаб» могли достигнуть 1 млрд рублей. При атаке же на «Доброцен» была парализована и вовсе работа всех внутренних систем, у сотрудников не запускались рабочие места, зависла система приемки товара.

По словам Романа Пустарнакова, заместителя генерального директора – коммерческого директора компании «Газинформсервис», атаки на ритейлеров повлияли не только на сами сети, но и на поставщиков, на транспортные и сервисные компании. Ущерб для последних никто не оценивает, однако он может даже превышать потери самих ритейлеров.

В конце июля также была совершена беспрецедентная атака на «Аэрофлот». О причастности к ней заявили хакерские группировки Silent Crow и «Киберпартизаны BY». По словам преступников, они год находились в корпоративной сети авиакомпании, выгрузили полный массив баз данных истории перелетов и добились полного контроля над компьютерами сотрудников. Преступники объявили, что украли 22 Тб данных и намеренно уничтожили 7 тыс. серверов. Только за один день крупнейший авиаперевозчик страны мог лишиться 250 млн рублей – из-за отмены рейсов. Но компании также пришлось потратиться на PR, восстановление систем, расследование и юристов. Общий ущерб «Аэрофлота», по оценке основателя проекта CakesCats и консультанта в сфере информбезопасности Антона Шустикова, мог превысить 5 млрд рублей, учитывая необходимость провести аудит уязвимостей, закупку нового ПО, восстановление, простой, утрату данных и репутационный урон.

По словам опрошенных SecPost специалистов по кибербезопасности, чем сложнее кибератака, тем сильнее от нее ущерб. Наиболее безобидны с точки зрения ущерба DDoS-атаки. Большинство компаний научились с ними справляться. В ходе таких атак не происходит компрометации данных. По оценкам Антона Шустикова, аудит безопасности сайта и уязвимостей с привлечением внешних экспертов после такой атаки может стоить от 200 тысяч до 1 миллиона рублей.

Атаки шифровальщиков могут обходиться дороже, если по каким-то причинам не было сделано бэкапа данных. Если при такой атаке была выведена из строя система управления производством, логистика и ERP-система, компании приходится отвлекать собственных разработчиков и бросать их разгребать последствия. Как правило, эту работу выполняют 5-10 человек, затраты здесь – их потраченное время. По мнению Антона Шустикова, речь здесь идет об относительно небольших суммах – от 500 тыс. до 1 млн рублей. Более детальное расследование с привлечением специалистов по криминалистике и восстановлению данных может добавить еще от 1 до 5 млн рублей расходов, говорит эксперт. С учетом простоя в течение недели ущерб у крупного холдинга может легко превысить 10 млн долларов, подсчитывает Шустиков.

Самыми же дорогими будут как раз APT-атаки, такие, как была совершена на «Аэрофлот». Они нацелены на инфраструктуру компаний. Часто в ходе таких атак происходят утечки данных. Ущерб при таких инцидентах в крупнейших компаниях может исчисляться уже несколькими миллиардами рублей.

В погоне за преступниками

Многие компании, по словам специалистов по кибербезопасности, даже не подозревают о произошедшей атаке и обнаруживают ее последствия слишком поздно — им сообщают о случившихся утечках либо регулятор, либо сами преступники.

Из-за штрафов регулятора могут быть достаточно серьезные убытки, ведь заплатить придется от 1% до 3% годовой выручки, рассказывает бизнес-руководитель департамента киберразведки F6 Евгений Чунихин. Общий ущерб от утечек у корпораций, данные о которых просочились в публичное поле, может составлять несколько миллиардов рублей, говорят эксперты.

Именно поэтому чаще всего компании пытаются их скрыть. «К сожалению, самый частый способ реагирования на кражи данных — страусиный. Максимум, что делает компания – назначает виновного и увольняет его», — говорит директор по информационной безопасности «Группы Астра» Дмитрий Сатанин. По этой причине привлечение к расследованию сторонних специалистов происходит крайне редко так же, как и внешних юристов. Как правило, российские компании стараются обойтись своими силами, подключают к ликвидации последствий своих специалистов по информационной безопасности, а также системных администраторов и техподдержку. Затраты в этом случае будут минимальны, но есть большой шанс, что уязвимости после атаки не будут закрыты и в будущем атака повторится вновь, добавляет Сатанин.

Если же внешние специалисты для расследования все-таки были наняты, то они обойдутся минимум в 1 млн рублей, говорит Михаил Климов, руководитель направления центра мониторинга и реагирования на кибератаки RED Security SOC компания RED Security. Еще минимум 1 миллион рублей будет стоить аудит инфраструктуры на компрометацию: «это надо делать, чтобы убедиться, что у злоумышленников не осталось точек доступа к ней». Восстановление инфраструктуры обычно проводится силами самой организации, и ее стоимость сильно варьируется в зависимости от масштаба атаки и этапа, на котором она была обнаружена, поясняет эксперт.

Вероятно, после атаки нужно будет усиливать меры безопасности, покупать новое оборудование, внедрять системы SIEM (система для управления безопасностью и реагирования на инциденты), NGFW (межсетевые экраны нового поколения), EDR (система реагирования на инциденты на компьютерах в офисах, внутренних сервисах и т.д.). Бывает, что компаниям приходится полностью перестраивать архитектуру. Полная перестройка сетевой инфраструктуры, замена оборудования, обновление ПО может обойтись в миллиарды рублей, поясняет Антон Шустиков.

Также у компаний, расследующих киберинцидент, могут быть затраты на командировки специалистов и возможные расходы на использование специфических сервисов и программ, поясняет руководитель отдела мониторинга и защиты информационной безопасности «М.Видео-Эльдорадо» Владимир Садовский.

Часто компании записывают в затраты и выкуп для преступников, пытаясь с его помощью вернуть зашифрованные после атаки данные. По словам Евгения Чунихина, средний выкуп у российских компаний составляет сейчас 53 млн рублей. Рекордная же сумма выкупа была 400 млн руб. Эксперты не рекомендуют так делать, гарантий, что преступники выполнят свои обещания, нет. Но признают, что, если не заплатить, инфраструктура компании может быть заблокирована, а украденные данные попадут в даркнет.

Бывают, правда, и здесь случаи, когда компаниям удается сэкономить. Так, руководитель аналитического центра компании Zecurion Владимир Ульянов рассказал, что его коллеги недавно совершили ошибку и не сделали бэкап данных. В итоге в результате атаки данные компании были зашифрованы. Преступники предложили заплатить большой выкуп. «Деньги на него были, но был большой риск, что после него вернут не всю информацию, поэтому специалисты по кибербезопасности вступили в переговоры с преступниками и убедили их предоставить кусочек ключа для расшифровки данных», — говорит он. После этого компания на основе части ключа смогла подобрать ключ и расшифровать больше половины данных.